Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リストとして適用される複数のファイアウォールフィルタについて

このトピックでは、以下の内容について説明します。

課題: 大規模なファイアウォールフィルター管理を簡素化

通常は、単一のファイアウォールフィルターを入力または出力方向のインターフェイスに適用します。または、その両方を実行します。しかし、このアプローチは、多数のインターフェイスで構成されたデバイスがある場合には実用的ではないことがあります。大規模な環境では、影響を受けるすべてのインターフェイスのフィルターを再設定せずに、複数のインターフェイスに共通するフィルタリング条件を柔軟に変更できるようにしたいと考えています。

一般的に、ソリューションは複数のファイアウォール フィルターの効果的な「チェーン化」構造を 1 つのインターフェイスに適用します。フィルタリングの条件は、フィルタリングタスクを実行する複数のファイアウォールフィルタに分割します。その後、特定のインターフェイスに対して実行するフィルタータスクを選択し、そのインターフェイスにフィルタータスクを適用できます。この方法では、単一のファイアウォールフィルターでフィルタリングタスクの設定のみを管理できます。

Junos OS ポリシーフレームワークには、個別のルーターインターフェイスに対して複数の個別のファイアウォールフィルターを適用するための2つのオプションが用意されています。1つの選択肢として、複数のフィルターを1つの入力リストまたは出力リストとして適用する方法があります。もう1つの方法は、別のファイアウォールフィルタの中からファイアウォールフィルターを参照することです。このオプションは PTX10003 (ルーターではサポートされていません。

ソリューション: ファイアウォールフィルターのリストを適用します。

複数のファイアウォールフィルターに共通する重複フィルタリング条件の設定を回避する最も簡単な方法は、複数のファイアウォールフィルターを設定してから、カスタマイズしたフィルタのリストを各インターフェイスに適用することです。このJunos OSフィルタは、リストに表示されている順序でフィルタを使用して、インターフェイスを通過するパケットを評価します。複数のインターフェイスで共有されるフィルタリング用語を変更する必要がある場合は、それらの条件を含む1つのファイアウォールフィルターを変更するだけで済みます。

フィルタリスト用の複数フィルタの設定

ファイアウォールフィルターを各ルーターインターフェイスの一意のリストに適用するには、以下のように、共有パケットフィルタリングルールをインターフェイス固有のパケットフィルタリングルールから分離する必要があります。

  • Unique filters:特定のインターフェイスに固有のパケット フィルタリング ルールの各セットについて、そのインターフェイスのフィルタリング条件のみを含む個別のファイアウォール フィルタを設定します。

  • Shared filters:2 つ以上のインターフェイスで共通するパケット フィルタリング ルールの各セットについて、共有のフィルタリング条件を含む個別のファイアウォール フィルタを設定します。

    ヒント:

    フィルタリストを使用して、大量のファイアウォールフィルターを適用する計画を立てる場合、管理者は多くの場合、フィルタリング基準、顧客が加入するサービス、またはインターフェイスの目的によって共有フィルタを整理する必要があります。

ルーターインターフェイスへのフィルタリストの適用

インターフェイスにファイアウォールフィルターのリストを適用するには、そのインターフェイスのパケットフィルタリング要件を満たすフィルターを選択する必要があります。各インターフェイスに対して、 input-listoutput-listfilterスタンザに or ステートメント (またはその両方) を含めることができ、該当するフィルターを使用する順に指定します。

  • インターフェイスに関連する共通のフィルタ用語を含むフィルタを含めます。

  • インターフェイスに固有のフィルタリング条件のみを含むフィルターを含めます。

フィルタリストのインターフェイス固有の名前

フィルタリストはインターフェイスの下で設定されているため、結果として連結されたフィルタはインタフェースに固有のものになります。

注:

フィルタリストがインターフェイスに設定されている場合、その結果の連結されたフィルターは、フィルタリスト内のファイアウォールフィルターがインターフェイス固有であるかどうかにかかわらず、インターフェイス固有であるということになります。さらに、specfic ファイアウォールフィルターのインスタンス化によって、ファイアウォールフィルタカウンターのインスタンスが個別に作成されるだけでなく、すべてのポリサーのアクションのインスタンスも個別に構築します。ファイアウォールフィルタ構成で指定されているアクションによって適用されたすべてのポリサーは、インターフェイスグループの各インターフェイスに個別に適用されます。

インターフェイス固有フィルターのシステム生成名は、出力フィルター リストの入力フィルター リストのインターフェイス名の後に' ' 、 ' で示 -i-o されます。

  • Input filter list nameたとえば、 ステートメントを使用してフィルタのチェーンを論理インターフェイスに適用する場合、フィルタの名前Junos OSに次の名前が input-list 使用されます。 ge-1/3/0.0

  • Output filter list nameたとえば、 ステートメントを使用してフィルタのチェーンを論理インターフェイスに適用する場合、フィルタの名前Junos OSに次の名前が output-listfe-0/1/2.0 使用されます。

注:

Junos OS 進化するには、フィルター名が異なります。たとえば、フィルターが inet ファミリーにバインドされている場合、フィルタの名前は ge-1/3/0/0-inet-ife-0/1/2.0-inet-o および です。

ファイアウォール フィルター名を指定する Junos OS モード コマンドを入力するときに、フィルター リストのインターフェイス固有の名前を使用できます。

条件に終了アクションまたは次の条件アクションが含まれると、フィルター リストによってパケットが評価される方法

このデバイスは、リスト内のフィルターに対して順番にパケットを評価し、終了アクションが発生するまで、またはパケットが暗黙的に破棄されるまでリスト内の最初のフィルターを開始します。

表 1一致する用語が終端アクションとnext termアクションを指定しているかどうかに基づいて、ファイアウォールフィルタリストがパケットを評価する方法について説明します。アクションは、終了アクションでも、終了しないアクションでも、フロー制御アクション next term もありません。

表 1: ファイアウォールフィルタリストの動作

条件に含まれるファイアウォール フィルター アクション

期間の説明

パケットフィルタリングの動作

中断

次の期間

あり

一致した用語には終了アクション (などdiscard) が含まれnext termていますが、アクションがありません

デバイスが終端アクションを実行します。フィルターには後続の条件がありません。また、パケットの評価にはリスト内の後続のフィルターも使用されません。

あり

一致する用語にはアクションが含まれますが、終了 next term アクションは含されません。

デバイスは終端以外のアクションを実行し、その後、デバイスがフィルター内の次の条件またはリスト内の次のフィルターでパケットを評価します。

注:

Junos OS 進化するとnext term 、そのアクションの最後の条件としては表示できません。フィルター条件がアクションnext termとして指定されていますが、合致する範囲が構成されていない場合、サポートされていません。

一致した用語にはnext term 、アクションも終了したアクションも含まれません。

デバイスは終端以外のアクションを実行すると、デバイスは暗黙的にパケットを受信します。acceptアクションは終了アクションであるため、フィルター内の後続の条件はパケットの評価に使用されません。

終了アクションの詳細については、 を参照 ファイアウォールフィルターによるアクションの中断 してください。

注:

同じファイアウォールフィルタnext term条件でアクションを終了アクションとして設定することはできません。

リストにプロトコル非依存型と IP ファイアウォールフィルターが含まれる場合のフィルタリストパケットの評価方法

プロトコル非依存型 (family any) のファイアウォールフィルターとプロトコル固有 (family inetまたはfamily inet6ファイアウォールフィルター) に関連付けられた単一のインターフェイスで、プロトコル非依存型のファイアウォールフィルターが最初に実行されます。

第1のフィルターの終端アクションによって、2つ目のフィルターでもパケットが評価されるかどうかが決定されます。

  • 最初のフィルターがacceptアクションを実行して終了した場合、2番目のフィルターはパケットも評価します。

  • パケットに一致する項目がない場合、最初のフィルターが終了した場合 (暗黙 discardのアクション)、2番目のフィルターはパケットも評価します。

  • 最初のフィルターが明示的 discardなアクションを実行して終了した場合、2つ目のフィルターはパケットを評価しません。

PTX10003 (ルーターは、フィルタリスト内のプロトコル非依存型フィルターとその他のフィルタの組み合わせをサポートしていません。